ATBroker.exe：一個被病毒利用的微軟進程

來自專欄 漁村安全

1、 前言

一般情況下，病毒會利用添加啟動項、計劃任務、服務的方式來實現開機啟動，達到留存和活躍的目的。然而，利用atbroker.exe系統進程，實現病毒開機啟動的方式並不常見。雖然該手法在2016年7月已經有被曝光，但是被發現的在野攻擊卻不多。不久前，某網友機子上的某殺毒軟體不停的提示有挖礦（zec幣）程序在運行，刪除惡意程序後，下次開機還是會不停的出現。

金山毒霸安全研究員小歐在一番苦心挖掘下，終於摸清了病毒的自啟、躲避殺軟的攻擊手法。

本次抓到的樣本，通過利用atbroker.exe自啟病毒母體，然後通過rundll32載入惡意模塊，最後實現文件的md5修改、釋放和執行挖礦程序。

2 、技術背景

2.1 atbroker.exe背景介紹

atbroker.exe（C:WindowsSystem32目錄下），源於微軟的「輕鬆訪問中心」。」輕鬆訪問中心」的一項功能是幫助用戶啟動輔助功能應用程序，常用的包括講述人，屏幕鍵盤和放大鏡。同時，這意味著第三方程序也可以通過註冊「輕鬆訪問中心」的方式來啟動。這一機制使得病毒可以通過寫註冊表的方式，利用atbroker.exe啟動惡意程序。

atbroker.exe的文件信息如下：

2.2 atbroker.exe 攻擊手段

早在2016年7月22就曝光了利用atbroker.exe運行惡意程序的方法，但是網上對利用該手法進行惡意攻擊的文章不多。詳情請戳：

http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/

https://msdn.microsoft.com/library/windows/desktop/mt826492

親自測試，觸發atbroker.exe啟動，有以下幾個場景

鎖屏或者登錄時

開機啟動時

運行atbroker.exe時

按下Ctrl+Alt+Del時

觸發UAC時

下面用一個小視頻演示UAC觸發atbroker.exe啟動惡意程序（以notepad.exe為例）的場景：

3、 zec幣挖礦攻擊

3.1 攻擊流程

從病毒母體的自啟動，到最終的挖礦程序執行，中間用了多層手法，用此方法有主要兩個目的：

隱藏母體，讓病毒長期駐存和活躍；

不斷改變MD5逃避殺軟查殺。

這裡用紅色字體標註惡意文件，用藍色字體標註系統進程，流程如圖所示

3.2 自啟動

樣機上的atbroker.exe利用的註冊表信息：

註冊表HKLMSOFTWAREMicrosoftWindows NTCurrentVersionAccessibilityATs下創建了一個Zlocal39的項，其中StartExe的值指向病毒母體，StartParams的內容是運行參數

註冊表HKLMSOFTWAREMicrosoftWindows NTCurrentVersionAccessibilitySession1下的Configuration的值為Zlocal39

通過processmon 的開機監控發現，系統登錄時會啟動atbroker.exe，然後atbroker.exe接著執行惡意程序Zloc.exejPnAtDoPy.exe，參數 woshiyizhixiaomaolv

3.3 樣本分析

IDA 打開Zloc.exejPnAtDoPy.exe(MD5:27d6209b6e10183a126906a714390577)，pdb路徑暴露了作者的QQ號。是故意留名？還是無意之舉。

Zloc.exejPnAtDoPy.exe主要是在temp目錄下釋放文件名隨機，後綴名為lbll的模塊並載入

釋放並載入ibll文件後，接著起rundll32載入idTemp.data，函數入口CgvSEcXgGkbWwkFa。（這裡的vCTemp.data(MD5:27d6209b6e10183a126906a714390577) 其實就是Zloc.exejPnAtDoPy.exe）

IDA打開idTemp.data（MD5：201136f459c3982bc75d440f8afe40c4），該模塊主要是創建線程和釋放挖礦文件到C:ProgramDataGTOrigin 目錄下，並解壓挖礦文件到%appdata%/Wtrl目錄下

Sub_10004A20( )關鍵代碼

釋放文件

進入到該目錄下查看這些文件，其中ini的文件為加密的配置文件，Wtrl.cab是包含挖礦模塊（後來證實是antpool的zec挖礦模塊）的壓縮包

Wtrl.cab的文件最後被釋放到%appdata%/Wtrl目錄下

接著rundll32調起Mine.exe（MD5：c849f42721cc0a0d66f405602126ecf0），運行參數

Mine.exe調起ThundCloud.exe（d9c6ab06dd0ea7703eff952d40c4e4ce），運行參數依然是woshiyizhixiaomaolv

ThundCloud.exe最後載入同目錄下的挖礦模塊，用wireshark 抓包得到礦池地址，賬號名和礦工名

4 、溯源

根據pdb路徑暴露的QQ號，查到作者於12年畢業，活躍於看雪論壇，擅長windows驅動開發

5、總結

通過本次事件的分析，atbroker.exe 是病毒很好的藏身之地。病毒再通過改變MD5和白+黑手法，能繞過大部分殺軟的查殺。觸發atbroker.exe來啟動病毒的場景很多，包括開機自啟、鎖屏、UAC和參數運行等。利用該機制，使得病毒能夠輕鬆拉活自己並長期駐存在系統中。目前，金山毒霸可完美防禦。

IOCs

27d6209b6e10183a126906a714390577

05b5f526631cb3c63ae45061dbac316a

201136f459c3982bc75d440f8afe40c4

c849f42721cc0a0d66f405602126ecf0

d9c6ab06dd0ea7703eff952d40c4e4ce

參考文章

http://www.hexacorn.com/blog/2016/07/22/beyond-good-ol-run-key-part-42/

https://msdn.microsoft.com/library/windows/desktop/mt826492

本機構賬號將持續關注和發布各類安全熱點事件，歡迎大家關注我們哦！

想查看更多過往的報告？可以點擊下面哦

我們的知乎文章匯總：點擊查看

我們的微博：漁村安全的微博

我們的微信公眾號：漁村安全